Как я могу обойти проблемы с настройкой сертификата в службах удаленных рабочих столов?

Я настраиваю ферму служб удаленных рабочих столов, и у меня возникли проблемы с настройкой сертификатов для ее использования. Демонстрацию проблемы, которую я вижу, можно найти на шаге 4.

На данный момент я убежден, что есть проблемы с пользовательским интерфейсом, и ищу способы их решения. Есть ли способ настроить сертификаты в службах удаленных рабочих столов так, чтобы параметры сохранялись и отражались в графическом интерфейсе? Если нет, могу ли я проверить правильность настроек?

Шаг № 1 - Создайте сертификат, который будет использоваться.

Я настроил сертификат для использования с RD Web Access. Сертификат хранится в консоли Certificates MMC на моем посреднике подключений к удаленному рабочему столу, и я настраиваю ферму с этого компьютера.

Я обнаружил, что разрешил RD Web Access создать собственный сертификат, что требуются следующие свойства:

• Улучшенное использование ключа
  • Проверка подлинности сервера
  • Проверка подлинности клиента
    • Это может не требоваться, но самозаверяющий сертификат включает это.
• Ключевое использование
  • Цифровой подписи
  • Ключевое соглашение
• Альтернативное имя субъекта
  • DNS-имя = domain.com

В обход генерации самоподписанного сертификата

В качестве быстрого обходного пути я смог обойти проблему с созданием самозаверяющих сертификатов с помощью PowerShell. Документация для Новый сертификат RDCertificate командлет дает следующий пример:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Если ввести это в оболочку, появится сообщение об ошибке, в котором говорится, что функция, Get-Server не может быть найден. Перед использованием New-RDCertificate, вы должны импортировать модуль RemoteDesktop с Import-Module RemoteDesktop.

Шаг № 2 - Наблюдайте за нестандартным поведением

При первом посещении диалогового окна «Свойства развертывания», перейдя в Диспетчер серверов -> Службы удаленных рабочих столов -> Коллекции и выбрав «Изменить свойства развертывания» из раскрывающегося списка «ЗАДАЧИ» в группе «КОЛЛЕКЦИИ», вы увидите следующий экран. :

Это окно вводит в заблуждение, потому что level поле указано как «Не настроено». Если я правильно понимаю, все три службы ролей используют самозаверяющий сертификат. Для роли веб-доступа к удаленным рабочим столам это можно проверить, посетив веб-сайт:

Используемый сертификат также отображается в MMC сертификатов:

Шаг № 3 - Назначьте новый сертификат

Диалоговое окно «Свойства развертывания» позволит мне выбрать существующий сертификат. Сертификат должен быть размещен на локальном компьютере. Сертификаты MMC в «Личном» хранилище сертификатов. Закрытый ключ должен быть экспортируемым, и вам нужно будет указать пароль. Я временно экспортировал свой сертификат в файл с именем temp.pfx с паролем, а затем импортировал его в службы удаленных рабочих столов оттуда.

Как только это будет сделано, графический интерфейс покажет, что готов принять новую конфигурацию.

Как только я нажимаю кнопку «Применить», графический интерфейс показывает успех.

Это можно проверить, посетив веб-сайт RD Web Access во второй раз. Ошибка сертификата отсутствует.

Шаг № 4 - Графический интерфейс не поддерживает свое состояние

Если закрыть и снова открыть графический интерфейс, все эти настройки будут потеряны.

Собственно, настроенный мной сертификат все еще используется. Я могу продолжить доступ к сайту RD Web Access без ошибок сертификата.

Как ни странно, если я использую кнопку «Создать новый сертификат ...» для создания самозаверяющего сертификата, это окно обновится до уровня «Недоверенный». Затем этот параметр будет поддерживаться при открытии и закрытии диалогового окна «Свойства развертывания».

Могу ли я что-нибудь сделать, чтобы мои настройки остались неизменными? Мне кажется, что что-то не так, когда графический интерфейс утверждает, что я не полностью настроил сертификаты.